none
exchange对外发布,如何阻止暴力破解 RRS feed

  • 问题

  • 你好

    Exchange2013或16,使用防火墙将443端口发布到外网,供外网手机邮箱访问。

    同步发布出去的还有autodiscover,ews,mapi,owa(EAC已经禁用每个邮箱的owa访问功能)等接口,这些接口是不是都可以暴力破解(或者这些接口有还未发现的漏洞隐患)。

    仅使用iis和Exchange,能禁止这些接口发布到外网么?

    或者,可以在exchange的IIS站点上再增加配置一个站点么(绑定指定IP),只添加activesync虚拟目录,防火墙仅将这个站点的IP发布出去,供internet访问手机邮箱。

    2021年2月24日 4:28

答案

  • 您好,

    根据我的研究,开放端口443有可能会受到暴力破解的攻击,经过443/TCP端口的流量为加密的Web链接,可以保护您的数据和信息。所以并不意味着开放端口您的组织一定会受到攻击或者信息泄露。我们不推荐开放不必要的端口,但如果您需要从外部网络的移动设备访问邮箱,443端口是需要开放的。

    您需要在外部网络中使用移动设备访问邮箱,移动设备将通过ActiveSync协议使您可以访问您邮箱中电子邮件,日历等信息。同时您还需要自动发现服务。自动发现服务和ActiveSync都是需要通过443端口的。

    关于Exchange所需要的端口,您可以参考:Exchange 中的客户端和邮件流的网络端口.

    您可以创建移动设备邮箱策略设置一些安全策略。通过EAC创建该策略只能够创建有限的设置,所以您可以通过运行以下命令行创建移动设备有限策略。通过该策略您能够设置密码复杂度,最大密码尝试失败次数等。

    New-MobileDeviceMailboxPolicy

    更多的信息您可以参考:移动设备邮箱策略 和 New-MobileDeviceMailboxPolicy.

    此外,Exchange 2013/2016最新的版本中将包括对之前版本已知问题的修复和之前发布的所有安全更新,所以建议您将Exchange组织升级至最新版本。

    此致,

    Lucas Liu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月24日 7:25

全部回复

  • 您好,

    根据我的研究,开放端口443有可能会受到暴力破解的攻击,经过443/TCP端口的流量为加密的Web链接,可以保护您的数据和信息。所以并不意味着开放端口您的组织一定会受到攻击或者信息泄露。我们不推荐开放不必要的端口,但如果您需要从外部网络的移动设备访问邮箱,443端口是需要开放的。

    您需要在外部网络中使用移动设备访问邮箱,移动设备将通过ActiveSync协议使您可以访问您邮箱中电子邮件,日历等信息。同时您还需要自动发现服务。自动发现服务和ActiveSync都是需要通过443端口的。

    关于Exchange所需要的端口,您可以参考:Exchange 中的客户端和邮件流的网络端口.

    您可以创建移动设备邮箱策略设置一些安全策略。通过EAC创建该策略只能够创建有限的设置,所以您可以通过运行以下命令行创建移动设备有限策略。通过该策略您能够设置密码复杂度,最大密码尝试失败次数等。

    New-MobileDeviceMailboxPolicy

    更多的信息您可以参考:移动设备邮箱策略 和 New-MobileDeviceMailboxPolicy.

    此外,Exchange 2013/2016最新的版本中将包括对之前版本已知问题的修复和之前发布的所有安全更新,所以建议您将Exchange组织升级至最新版本。

    此致,

    Lucas Liu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月24日 7:25
  • 决定关闭外网发布了。
    2021年2月26日 6:47
  • 您好,

    希望以上提供的信息可以为您提供帮助。如果您认为以上提供的信息对您提出的问题的解决有所帮助,您可以在空闲时间将其标记为答案,这将使在论坛中搜索答案更加容易,并且也对其他社区成员有利。

    感谢您的理解,祝您周末愉快。


    此致,

    Lucas Liu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月26日 9:11